倒计时1天!单个漏洞最高奖励2万元!

百家 作者:平安安全应急响应中心 2022-06-29 20:45:39

PSRC 14天活动狂欢正在进行中!

高危、严重漏洞奖励全面升级,

单个漏洞最高奖励2万元!

还在等什么

快来提交吧!



#01 活动详情

About the Event


活动时间

2022年6月17日0点至6月30日24点


活动范围

平安银行、平安科技、平安产险、平安寿险、平安健康险(每个专业公司的活动范围具体见活动页面)


漏洞奖励

漏洞等级

升级后奖励

原奖励

严重

12000~20000

5000~8000

高危

4000~9000

2000~4000

中危

200~1000

200~1000

低危

50~200

50~200



#02 漏洞定级

Vulnerability Ranking


注意,严重、高危漏洞定级规则有变化哦~


严重漏洞

1、可获取系统权限或者控制核心生产网的漏洞,包括但不限于任意代码执行、任意命令执行、SQL注入获取核心系统权限、上传Webshell并可执行等;

2、严重级别的敏感信息泄露,包括但不限于核心系统SQL注入漏洞、导致能获取特大量用户三种敏感字段及以上敏感数据的接口引发的信息泄露等。

*向上滑动显示全部


高危漏洞

1、高风险的信息泄露漏洞,包括但不限于SQL注入漏洞、泄露用户账户支付相关信息泄露、核心功能的源代码泄露、泄露用户隐私信息、泄露可用的数据库连接信息等;

2、可获取重要系统权限,包括但不限于通过弱口令或未授权等方式获取网络设备权限、安全设备权限、大数据系统权限、堡垒机权限、办公系统权限、邮箱权限、终端权限、云管理平台权限;

3、逻辑越权类漏洞,包括但不限于绕过认证直接访问管理后台可操作、越权可获取大量用户敏感信息、任意用户登录可查看用户敏感信息等;

4、非本次活动平安公司业务,但平安活动公司是该业务的用户,且可获取大量平安用户信息、平安工作文件、平安源码信息等;

5、能直接访问内网且可获取回显的SSRF漏洞;

6、访问任意系统文件的漏洞,包括但不限于任意文件包含、任意文件读取、任意文件删除等。


*向上滑动显示全部


中危漏洞

1、普通信息泄露,包括但不限于包含服务器或数据库敏感信息的源代码压缩包下载、springboot未授权访问敏感端点信息等;

2、普通的逻辑缺陷和越权,包括但不限于一般功能的越权行为和设计缺陷、可越权访问少量用户敏感信息、以及对经济价值影响较小的漏洞;

3、需交互才能获取用户身份信息的漏洞,包括但不限于敏感操作的CSRF,json hijacking、可造成严重危害的存储型XSS、需要用户点击的WebView组件漏洞等;

4、弱验证机制引发的漏洞,包括但不限于帐户相关暴力破解并且可成功登录等漏洞;

5、能直接访问平安内网但无回显的SSRF漏洞;

6、重要功能的CSRF,包括但不限于可交互修改他人密码、删除重要信息等。

*向上滑动显示全部


低危漏洞

1、可被利用于钓鱼攻击的漏洞,包括但不限于URL重定向漏洞等;

2、轻微信息泄露:服务器敏感信息的日志文件下载、客户端明文存储密码;

3、提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等;

4、无法获得数据的SQL注入漏洞;

5、一般信息泄露漏洞:包括但不限于SVN文件泄露、LOG文件泄露、Phpinfo等;

6、存在越权,但利用难度较大的漏洞,包括但不限于参数无规律且无法通过其他途径获取的越权漏洞等;

*向上滑动显示全部


无影响漏洞

1、不涉及安全问题的BUG,包括但不限于产品功能缺陷、页面乱码、样式问题;

2、无法利用的漏洞,包括但不限于难以利用的self-xss、非敏感操作的CSRF、用户弱口令、无敏感信息的json hijacking、无意义的源码泄露、内网ip地址/域名泄露、后台信息泄漏、路径信息泄露、TFS信息泄露、网站路径泄露、不能解析的任意文件上传、没有实际意义的扫描器漏洞报告、无敏感信息的svn文件/phpinfo/logcat等等;

3、不能重现的漏洞,包括但不仅限于PSRC工作人员确认无法重现的漏洞;

4、运营预期之内或无法造成资金损失的问题,包括但不限于使用多个账号领取小额奖励的正常业务活动;

5、移动端:

① 不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编、静态文件目录遍历、应用兼容性等问题等;

② 无实际意义的漏洞。包括但不限于无意义的打印,没有实际意义的扫描器漏洞报告(如:硬编码、无混淆,Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等);

③ 实际业务需要配置的有风险的权限但是无法利用的漏洞;

④ 无法重现的漏洞、不涉及敏感信息的信息泄露、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题;

⑤ 低影响的本地DoS攻击;

6、PC端:无利用价值的Crash等。

*向上滑动显示全部


针对非生产环境漏洞,最高评级为高危。



#03 提交漏洞

Submit Report


登陆平安集团安全应急响应中心(PSRC)官网,点击「众测活动」,点击活动相对应的专业公司页面提交漏洞即可。

*活动页面在活动开始后显示


活动直达链接

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接